ESET identifica a GhostRedirector, grupo chino que manipula SEO de Google e infecta servidores Windows

ESET, empresa especializada en detección proactiva de amenazas, informó la identificación de un nuevo grupo malicioso de origen chino denominado GhostRedirector. El hallazgo corresponde a investigaciones realizadas hasta junio de 2025, que permitieron atribuir múltiples ataques a este actor.

GhostRedirector comprometió al menos 65 servidores Windows localizados principalmente en Brasil, Perú, Tailandia, Vietnam y Estados Unidos. La mayoría de los servidores en Estados Unidos habrían sido alquilados por empresas con sede en los otros países citados. El grupo no restringió sus objetivos a sectores específicos, ya que se detectaron víctimas en educación, salud, seguros, transporte, tecnología y comercio minorista.

Herramientas utilizadas y modus operandi

La operación empleó dos herramientas personalizadas y hasta ahora desconocidas: un backdoor pasivo en C++ llamado Rungan, y un módulo malicioso de Internet Information Services (IIS) denominado Gamshen. El primero permite ejecutar comandos en los servidores afectados, mientras que el segundo tiene como objetivo ofrecer fraude SEO (Search Engine Optimization) como servicio, manipulando resultados de Google para favorecer sitios de apuestas.

El investigador Fernando Tavella de ESET señaló: “Aunque Gamshen solo modifica la respuesta cuando la solicitud proviene de Googlebot, es decir, no sirve contenido malicioso ni afecta de otro modo a los visitantes habituales de los sitios web, la participación en el esquema de fraude SEO puede dañar la reputación del sitio web anfitrión comprometido al asociarlo con técnicas SEO fraudulentas, así como con los sitios web impulsados”.

Técnicas y atribución a China

La atribución a China se fundamenta en cadenas codificadas en chino presentes en las herramientas, el uso de un certificado de firma de código emitido por una empresa china y la inclusión de la palabra “huang” en contraseñas generadas. Según la telemetría de ESET, el acceso inicial se logró mediante una vulnerabilidad de inyección SQL, seguida de la instalación de malware orientado a escalada de privilegios, webshells y troyanos IIS.

Las capacidades del backdoor incluyen comunicación en red, ejecución de archivos, listado de directorios y manipulación de servicios y claves de registro. Además, GhostRedirector implementó múltiples herramientas de acceso remoto y creó cuentas de usuario fraudulentas para mantener el acceso a largo plazo. Tavella agregó: “GhostRedirector también demuestra persistencia y resiliencia operativa al implementar múltiples herramientas de acceso remoto en el servidor comprometido, además de crear cuentas de usuario fraudulentas, todo ello con el fin de mantener el acceso a largo plazo en la infraestructura comprometida”.

Alcance temporal y recomendaciones

Los ataques se detectaron entre diciembre de 2024 y abril de 2025. En junio de 2025 se identificaron nuevas víctimas tras un análisis global. La empresa notificó a los afectados y publicó recomendaciones técnicas para mitigar el problema, según informó la compañía.

El análisis destaca la sofisticación de GhostRedirector y su impacto sobre la reputación de los sitios afectados.